Séparation des tâches
Utilisez la séparation des tâches (SOD) pour définir des règles qui autorisent (avec ou sans surveillance supplémentaire) ou bloquent des combinaisons de droits spécifiques pour les applications ayant Governance Engine activé.
Les organisations ont souvent des processus ou suivent des normes qui exigent que certaines combinaisons de droits ne soient pas autorisées. Les droits sont des permissions, des privilèges ou des niveaux accès qui permettent aux utilisateurs de réaliser des actions spécifiques au sein d'applications tierces. Dans de nombreuses organisations, la gestion des droits et la garantie que des combinaisons indésirables ne se produisent pas sont laissées aux administrateurs. Les administrateurs utilisent souvent des processus manuels pour vérifier si des combinaisons indésirables ont été affectées aux utilisateurs. Par conséquent, certains utilisateurs se voient affecter des combinaisons de droits qui peuvent entraîner des conflits d'intérêts potentiels.
Par exemple, imaginez le scénario où une personne peut à la fois créer et payer des comptes. Pour une organisation, cela pourrait entraîner des conséquences négatives pour une seule personne, qui pourrait créer de faux comptes et en approuver le paiement. Les règles SOD peuvent aider à prévenir ces situations.
Avec les règles SOD, vous pouvez adopter une approche à deux volets pour gérer les affectations de droits conflictuelles : préventive et corrective. Utilisez les Demandes d'accès et les Certifications d'accès pour contrôler les combinaisons de droits que les utilisateurs sont autorisés à posséder.
-
Demandes d'accès : indiquez si les utilisateurs sont autorisés (ou autorisés avec des paramètres personnalisés) ou bloqués pour les demandes accès qui peuvent provoquer un conflit de règle SOD. En fonction de la manière dont vous configurez le paramètre des demandes d'accès, vous pouvez empêcher les utilisateurs d'accumuler des droits qui provoquent des conflits de règles SOD. Vous pouvez également exécuter le rapport Demandes d'accès antérieures (Conditions) pour visualiser les requêtes accès qui présentent un conflit de règle SOD à l'aide de la colonne Nom du conflit.
-
Certifications d'accès : exécutez des campagnes pour examiner et corriger les accès utilisateurs existants en cas de conflit de règle SOD. Vous pouvez configurer les informations contextuelles disponibles pour les réviseurs afin d'afficher les détails des conflits SOD pour les éléments de révision depuis l'onglet Paramètres de la page Certifications d'accès .
Pour les requêtes d'accès, Okta évalue les règles de séparation des tâches en fonction des affectations de droits existantes du demandeur au moment où il soumet la requête. Cela signifie que les avertissements de conflit de règles de séparation des tâches ne seront pas affichés aux demandeurs et ne les empêcheront pas de demander l'accès à des droits en conflit s'ils créent plusieurs requêtes dans un court laps de temps ou si plusieurs requêtes sont ouvertes simultanément.
Avant d'accorder l'accès, vérifiez toutes les requêtes ouvertes provenant du demandeur pour vous assurer qu'il n'y a aucun conflit entre les requêtes de droits et les règles de séparation des tâches. Par ailleurs, exécutez des campagnes de certification des droits d'accès qui examinent régulièrement les conflits de séparation des tâches afin de révoquer les affectations de droits conflictuelles.